Il punto di vista di Akamai sulla Patch Tuesday di settembre 2023

CVE-2023-36802 - Microsoft Streaming Service Proxy (CVSS 7.8)

Microsoft Streaming Service Proxy è correlato a Microsoft Stream, il successore di Office 365 Video. Il servizio è denominato "MSKSSRV" e implementato in %WinDir%\System32\drivers\MSKSSRV.sys. La vulnerabilità è stata sfruttata in rete, il che ha condotto ad un'escalation di privilegi. 

CVE-2023-36761 - Microsoft Word (CVSS 6.2)

È stata corretta una vulnerabilità di Microsoft Word sfruttata in rete con un punteggio CVSS di 6,2. Sembra trattarsi di una vulnerabilità di coercizione dell'autenticazione NTLM. La vulnerabilità influisce anche sul riquadro di anteprima.

Non è l'unica vulnerabilità corretta in Microsoft Word questo mese: anche un'altra vulnerabilità RCE (CVE-2023-36762) ha influito su Word. Anche questa vulnerabilità influisce sul riquadro di anteprima, tuttavia, secondo Microsoft, a differenza della prima vulnerabilità, difficilmente verrà sfruttata in rete.

Microsoft Azure Kubernetes Service

Microsoft Azure Kubernetes Service (AKS) è la piattaforma Kubernetes di Microsoft, che consente agli utenti di implementare e gestire i loro ambienti containerizzati.

Dalle note di Microsoft su questa vulnerabilità, sappiamo che questo attacco può essere sferrato da una fonte esterna a indicare, probabilmente, un attacco contro l'infrastruttura AKS anziché contro lo stesso cluster.

Come risultato finale, l'attacco concederà al criminale i privilegi di amministratore sul cluster Kubernetes. Anche se sembra grave, Microsoft ha notato anche che questo attacco ha meno probabilità di essere sfruttato.

In altri articoli su Kubernetes, il nostro team di ricerca ha pubblicato un blog sulla vulnerabilità CVE-2023-3676, che consente l'esecuzione di codice remoto (RCE) con privilegi di sistema su tutti gli endpoint Windows all'interno di un cluster Kubernetes. .

Windows Themes

Microsoft Themes è una funzione di Windows, che consente ad un utente di cambiare il modo di visualizzazione di icone o font, tra le altre opzioni disponibili.

Qualsiasi utente può applicare un team sull'endpoint, pertanto non sono richiesti privilegi. Per sfruttare la vulnerabilità corretta, un criminale deve indurre l'utente ad applicare un file di temi dannoso.

Dalle note di Microsoft, sappiamo che si tratta di una vulnerabilità RCE sugli endpoint. Supponiamo che il file di temi scaricherà un file binario da una fonte non autorizzata in una posizione da cui può essere eseguito.

Internet Connection Sharing (ICS)

Una vulnerabilità RCE è stata rilevata all'interno del servizio Internet Connection Sharing (ICS).

Il servizio ICS è stato progettato per consentire ad un host Windows connesso a Internet di fungere da gateway per altri host presenti nella rete locale che non hanno accesso diretto a Internet.

Questo servizio è concepito per l'uso da parte di host presenti nella stessa LAN, il che potrebbe spiegare perché questa vulnerabilità sia considerata da Microsoft come sfruttabile solo da host esistenti nello stesso segmento di rete.

Tranne per le versioni legacy di Windows, il servizio ICS "SharedAccess" non viene eseguito per impostazione predefinita.